В этой статье я объясню, как построить инфраструктуру для симуляции фишинговой атаки в рамках тестирования организации. Мы создадим с нуля почтовый сервер, установим и настроим обратный прокси Evilginx, а затем внедрим его в фишинговый фреймворк Gophish. В конце я покажу на практике процесс проведения фишинговой атаки с перехватом логина, пароля и сессионных cookie, c последующим обходом двухфакторной аутентификации.

Важную роль в методах пентестеров играют фишинговые письма, заставляющие людей добровольно сдавать ключи от крепости. Сегодня это стало популярным способом аудита, и для него уже созданы средства автоматизации. Одним из наиболее интересных средств является Gophish — фреймворк, который позволяет проверить реакцию сотрудников компании на фишерские послания.